Обнаружение расширенных настроек клиента 802.1X
Подключиться к сетям с использованием аутентификации 802.1X довольно просто, особенно при использовании с PEAP. Вы просто вводите имя пользователя и пароль. Однако существует множество дополнительных параметров, которые можно настроить вручную, многие из которых связаны с безопасностью и производительностью беспроводной сети. Здесь я покажу и обсужу те настройки, которые находятся в графическом интерфейсе Windows.
Несмотря на то, что за последние несколько выпусков Windows было внесено много изменений в сетевые функции и графический интерфейс, обсуждаемые здесь остаются почти идентичными от Windows XP до Windows 10. Однако, как именно перейти к ним через графический интерфейс, меняется.
В Windows XP, Vista и 7 вы можете открыть свойства беспроводного соединения, просто щелкнув правой кнопкой мыши сеть в списке доступных беспроводных сетей. В Windows 8, 8.1 и 10 вы можете открыть Центр управления сетями и общим доступом, щелкнув правой кнопкой мыши значок сети на панели задач. Затем вы щелкаете ссылку сетевого подключения, которая вызывает свойства подключения, нажмите кнопку и выберите вкладку . Если вы используете аутентификацию 802.1X в проводной сети, выберите вкладку .
[сетевые свойства.png]
Или, если вы энтузиаст команд, запустите , чтобы открыть окно «Сетевые подключения», где вы можете дважды щелкнуть нужное беспроводное соединение, а затем нажать кнопку « .
[peap-свойства.png]
Сначала мы рассмотрим настройки PEAP. Выбрав в качестве метода проверки подлинности, нажмите кнопку . Вот настройки, которые вы увидите в следующем диалоговом окне:
- Подтвердить сертификат сервера: если этот параметр включен, клиент аутентифицирует сервер RADIUS перед тем, как клиент продолжит аутентификацию на сервере. Это поможет убедиться, что вы подключены к правильному серверу, а не к поддельному, например, от атаки «человек посередине». Сервер аутентифицируется на основе следующих двух настроек.
- Подключитесь к этим серверам: здесь вы должны указать IP-адрес сервера RADIUS или адрес (а) домена, чтобы клиент общался только с ними. Подключение к любым другим серверам RADIUS приведет к сбою проверки сервера и невозможности выполнения аутентификации пользователя. Если доступно несколько серверов, разделите каждый адрес сервера точкой с запятой. Например, .
- Доверенные корневые центры сертификации: здесь вы должны выбрать центр сертификации (ЦС), который используется сертификатом сервера RADIUS. Если вы приобрели SSL-сертификат в крупном ЦС (например, Verisign или GoDaddy), в Windows должен быть установлен и указан ЦС. Однако если вы создали собственный самозаверяющий сертификат для сервера RADIUS, вам сначала необходимо импортировать сертификат ЦС в хранилище доверенных корневых центров сертификации Windows.
- Не предлагать пользователю авторизовать новые серверы или доверенные центры сертификации: если этот параметр включен, пользователи не смогут принимать новые или ненадежные серверы RADIUS или те, которые не соответствуют указанным выше критериям. Если этот параметр отключен, пользователям предлагается принять или отклонить серверы RADIUS во время проверки сервера, которые не используют ЦС, указанный вами, или не относятся к введенному вами адресу. Администраторы могут понять приглашение, но обычные пользователи могут просто принять RADIUS-сервер, возможно, подключившись к фальшивому серверу и сети, которые могут попытаться перехватить и взломать их учетные данные для входа в 802.1X с помощью атаки «человек посередине». Как только новый или измененный сертификат сервера RADIUS будет принят с помощью подсказки или предупреждения, указанные адреса сервера RADIUS и выбранный сертификат ЦС будут перезаписаны новыми или измененными данными. Поэтому вы должны включить эту опцию, чтобы автоматически отклонять эти неизвестные серверы, чтобы быть в безопасности.
- Включить быстрое повторное подключение. Это включает быстрое повторное подключение (также называемое возобновлением сеанса EAP), которое кэширует сеанс TLS из исходного подключения и использует его для упрощения и сокращения процесса рукопожатия TLS для попыток повторной аутентификации. Конечный результат означает, что клиенты могут быстрее подключаться к сети, что делает роуминг более плавным, что особенно полезно для важных приложений. Обычно это включено по умолчанию, когда клиент подключается к сети 802.1X в первый раз, но если вы вручную передаете сетевые настройки клиентам домена, вам следует рассмотреть возможность включения быстрого повторного подключения.
- Принудительно применить защиту политики доступа к сети (или включить проверки карантина): если в сети настроена защита политики доступа к сети (NAP), для этого потребуется, чтобы клиент соответствовал указанным требованиям.
- Отключиться, если сервер не представляет TLV криптопривязки: если этот параметр включен, он обеспечит использование TLV криптопривязки, что помогает повысить безопасность туннеля TLS в PEAP. Он объединяет внутренний метод и внешний метод аутентификации, поэтому злоумышленники не могут выполнять атаки «человек посередине».
- Включить конфиденциальность удостоверений: во время аутентификации 802.1X удостоверение клиента (которое является именем пользователя для PEAP) сначала отправляется на сервер RADIUS в открытом виде для любых целей маршрутизации, используемых сервером. Однако обычно он не нужен и может быть установлен на любое значение, что помогает защитить личность клиента от любых недоброжелательных перехватчиков. Таким образом, если вы включите это, все, что находится в поле справа, будет отправлено во время первого обмена идентификационными данными. Если во время аутентификации используется какой-либо домен, он также будет использоваться здесь. Таким образом, если вы введете , первым переданным идентификатором будет . Имейте в виду, что реальная личность всегда будет отправлена во второй раз во время аутентификации, которая затем будет осуществляться через зашифрованный туннель.
В Windows 7 и более поздних версиях в другом диалоговом окне также есть более продвинутые настройки 802.1X. В окне свойств сетевого подключения вы должны нажать кнопку внизу.
[расширенный-8021x.png]
На вкладке вы можете выбрать, какой тип аутентификации выполнять (пользователь, компьютер или гость), а также удалить сохраненный пароль. Вы также можете включить и настроить единый вход в сеть. Если ПК и сеть настроены правильно, использование этой функции избавляет пользователя от необходимости вводить отдельные учетные данные для входа в Windows и в сеть 802.1X. Имя пользователя и пароль Windows будут использоваться во время аутентификации 802.1X, экономя время и усилия пользователя и упрощая управление учетными данными для администраторов.
[расширенный-80211.png]
Когда для беспроводной сети включен метод безопасности WPA2 (а не только WPA), также есть вкладка , где вы найдете настройки быстрого роуминга. Кэширование парного главного ключа (PMK) обычно включено по умолчанию и позволяет клиентам выполнять частичную аутентификацию при возврате к точке доступа, где клиент первоначально выполнил полную аутентификацию. Когда функция предварительной аутентификации включена (которая не включена по умолчанию), метод кэширования PMK можно использовать для всех точек доступа, а не только для исходной точки доступа, если сеть поддерживает это. Это делает процесс роуминга еще более плавным.